Начались массовые атаки на уязвимость Citrix Bleed - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Начались массовые атаки на уязвимость Citrix Bleed - «Новости»

✔Начались массовые атаки на уязвимость Citrix Bleed - «Новости»

07 ноября 2023 693 Новости / Добавления стилей / Преимущества стилей / Изображения / Заработок / Текст 0

Исследователи предупреждают, что злоумышленники уже используют уязвимость Citrix Bleed (CVE-2023-4966) для атак на правительственные, технические и юридические организации в Северной и Южной Америке, Европе, Африке и странах Азиатско-Тихоокеанского региона.


Напомним, что критическая уязвимость CVE-2023-4966 (9,6 балла по шкале CVSS), связанная с удаленным раскрытием информации и получившая название Citrix Bleed, была устранена еще 10 октября 2023 года, однако тогда Citrix не сообщила никаких подробностей об этой проблеме.


Как вскоре предупредили исследователи из компании Mandiant, оказалось, что с конца августа 2023 года этот баг использовался злоумышленниками в таргетированных атаках, то есть представлял собой уязвимость нулевого дня. Хакеры использовали баг для перехвата аутентифицированных сессий и обхода многофакторной защиты.


В конце октября эксперты AssetNote выпустили PoC-эксплоит для CVE-2023-4966.


Теперь атаки на Citrix Bleed носят массовый характер, однако известный ИБ-специалист Кевин Бомонт пишет, что это необязательно вызвано публикацией эксплоита AssetNote, ведь и до этого было ясно, что детали проблемы известны сразу нескольким хак-группам. В прошлые выходные Бомонт предупреждал, что злоумышленники похитили токены сеансов более чем с 20 000 серверов NetScaler.


Предупреждая, что примерно половина клиентов NetScaler, включая телекоммуникационные, энергетические, продовольственные и правительственные организации, до сих пор не установили патчи, на прошлой неделе компания Бомонта опубликовала специальный сканер, помогающий обнаруживать уязвимые серверы NetScaler.


Как теперь рассказывают в компании Mandiant, отсутствие ведения журналов на устройствах затрудняет исследование эксплуатации CVE-2023-3966, так как для регистрации трафика и определения факта эксплуатации требуются WAF и другие решения для мониторинга сетевого трафика. Если сеть не использует такой мониторинг до атаки, невозможно провести анализ за прошлые периоды, и исследователи ограничиваются наблюдениями за атаками в реальном времени.


Специалисты пишут, что даже в период пост-эксплуатации злоумышленники стараются оставаться незаметными, используя методы live off the land и обычные административные инструменты, такие как net.exe и netscan.exe, чтобы не выделяться на фоне рутинной активности.


Mandiant удалось выявить попытки эксплуатации и перехвата сеансов следующим образом:



  • анализ запросов WAF — запросы к уязвимой конечной точке могут регистрироваться средствами WAF;

  • мониторинг паттернов входа в систему — несовпадение IP-адресов клиента и источника, а также множественные сессии с одного и того же IP-адреса, записанные в файлах ns.log, являются признаками потенциального несанкционированного доступа;



Начались массовые атаки на уязвимость Citrix Bleed - «Новости»



  • сопоставление с реестром Windows — сопоставление данных реестра Windows в системах Citrix VDA с данными ns.log позволяет проследить происхождение злоумышленника;

  • проверка дампа памяти — дамп-файлы NSPPE могут быть проанализированы на предмет наличия необычно длинных строк, содержащих повторяющиеся символы, что может свидетельствовать о попытках эксплуатации.





Воспользовавшись CVE-2023-4966, злоумышленники занимаются разведкой, похищают учетные данные и занимаются боковым перемещением посредством RDP. На этом этапе хакеры используют следующие инструменты:


• net.exe — разведка Active Directory (AD);

• netscan.exe — создание перечня внутренних сетей;

• 7-zip — создание зашифрованного сегментированного архива для сжатия результатов разведки;

• certutil — кодирование (base64) и декодирование файлов данных и внедрение бэкдоров;

• e.exe и d.dll — загрузка в память процесса LSASS и создание файлов дампа памяти;

• sh3.exe — запуск команды Mimikatz LSADUMP для извлечения учетных данных;

• FREEFIRE — легкий .NET-бэкдор, использующий Slack для управления;

• Atera — удаленный мониторинг и управление;

• AnyDesk — удаленный рабочий стол;

• SplashTop — удаленный рабочий стол.


Хотя многие из перечисленных выше инструментов часто встречаются в корпоративных средах, их совместное развертывание может быть признаком компрометации, а такие инструменты, как FREEFIRE, являются явными признаками взлома. Исследователи опубликовали правило Yara, которое может быть использовано для обнаружения FREEFIRE на устройстве.


В настоящее время Mandiant отслеживает четыре группировки, эксплуатирующие CVE-2023-4966 в различных кампаниях, и они имеют некоторое совпадение на этапе пост-эксплуатации. Так, все группы активно применяли csvde.exe, certutil.exe, local.exe и nbtscan.exe, а в двух кластерах активности был замечен и Mimikatz.


Так как применение доступных патчей не устраняет уже существующие компрометации, эксперты подчеркивают, что здесь требуется полноценное реагирование на инцидент. Рекомендации по восстановлению систем после взлома можно найти в отдельном руководстве Mandiant.


Исследователи предупреждают, что злоумышленники уже используют уязвимость Citrix Bleed (CVE-2023-4966) для атак на правительственные, технические и юридические организации в Северной и Южной Америке, Европе, Африке и странах Азиатско-Тихоокеанского региона. Напомним, что критическая уязвимость CVE-2023-4966 (9,6 балла по шкале CVSS), связанная с удаленным раскрытием информации и получившая название Citrix Bleed, была устранена еще 10 октября 2023 года, однако тогда Citrix не сообщила никаких подробностей об этой проблеме. Как вскоре предупредили исследователи из компании Mandiant, оказалось, что с конца августа 2023 года этот баг использовался злоумышленниками в таргетированных атаках, то есть представлял собой уязвимость нулевого дня. Хакеры использовали баг для перехвата аутентифицированных сессий и обхода многофакторной защиты. В конце октября эксперты AssetNote выпустили PoC-эксплоит для CVE-2023-4966. Теперь атаки на Citrix Bleed носят массовый характер, однако известный ИБ-специалист Кевин Бомонт пишет, что это необязательно вызвано публикацией эксплоита AssetNote, ведь и до этого было ясно, что детали проблемы известны сразу нескольким хак-группам. В прошлые выходные Бомонт предупреждал, что злоумышленники похитили токены сеансов более чем с 20 000 серверов NetScaler. Предупреждая, что примерно половина клиентов NetScaler, включая телекоммуникационные, энергетические, продовольственные и правительственные организации, до сих пор не установили патчи, на прошлой неделе компания Бомонта опубликовала специальный сканер, помогающий обнаруживать уязвимые серверы NetScaler. Как теперь рассказывают в компании Mandiant, отсутствие ведения журналов на устройствах затрудняет исследование эксплуатации CVE-2023-3966, так как для регистрации трафика и определения факта эксплуатации требуются WAF и другие решения для мониторинга сетевого трафика. Если сеть не использует такой мониторинг до атаки, невозможно провести анализ за прошлые периоды, и исследователи ограничиваются наблюдениями за атаками в реальном времени. Специалисты пишут, что даже в период пост-эксплуатации злоумышленники стараются оставаться незаметными, используя методы live off the land и обычные административные инструменты, такие как net.exe и netscan.exe, чтобы не выделяться на фоне рутинной активности. Mandiant удалось выявить попытки эксплуатации и перехвата сеансов следующим образом: анализ запросов WAF — запросы к уязвимой конечной точке могут регистрироваться средствами WAF; мониторинг паттернов входа в систему — несовпадение IP-адресов клиента и источника, а также множественные сессии с одного и того же IP-адреса, записанные в файлах ns.log, являются признаками потенциального несанкционированного доступа; сопоставление с реестром Windows — сопоставление данных реестра Windows в системах Citrix VDA с данными ns.log позволяет проследить происхождение злоумышленника; проверка дампа памяти — дамп-файлы NSPPE могут быть проанализированы на предмет наличия необычно длинных строк, содержащих повторяющиеся символы, что может свидетельствовать о попытках эксплуатации. Воспользовавшись CVE-2023-4966, злоумышленники занимаются разведкой, похищают учетные данные и занимаются боковым перемещением посредством RDP. На этом этапе хакеры используют следующие инструменты: • net.exe — разведка Active Directory (AD); • netscan.exe — создание перечня внутренних сетей; • 7-zip — создание зашифрованного сегментированного архива для сжатия результатов разведки; • certutil — кодирование (base64) и декодирование файлов данных и внедрение бэкдоров; • e.exe и d.dll — загрузка в память процесса LSASS и создание файлов дампа памяти; • sh3.exe — запуск команды Mimikatz LSADUMP для извлечения учетных данных; • FREEFIRE — легкий .NET-бэкдор, использующий Slack для управления; • Atera — удаленный мониторинг и управление; • AnyDesk — удаленный рабочий стол; • SplashTop — удаленный рабочий стол. Хотя многие из перечисленных выше инструментов часто встречаются в корпоративных средах, их совместное развертывание может быть признаком компрометации, а такие инструменты, как FREEFIRE, являются явными признаками взлома. Исследователи опубликовали правило Yara, которое может быть использовано для обнаружения FREEFIRE на устройстве. В настоящее время Mandiant отслеживает четыре группировки, эксплуатирующие CVE-2023-4966 в различных кампаниях, и они имеют некоторое совпадение на этапе пост-эксплуатации. Так, все группы активно применяли csvde.exe, certutil.exe, local.exe и nbtscan.exe, а в двух кластерах активности был замечен и Mimikatz. Так как применение доступных патчей не устраняет уже существующие компрометации, эксперты подчеркивают, что здесь требуется полноценное реагирование на инцидент. Рекомендации по восстановлению систем после взлома можно найти в отдельном руководстве Mandiant.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: